|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-05-24, 10:04 PM | #1 |
榮譽會員
|
軟體 - Win2000簡單安全組態
Win2000簡單安全組態
一、系統的安裝 正常情況下Internet 訊息服務(IIS)只需要選項三項: Internet服務管理器 + Word Wide Web伺服器 + 公用文件 附件和工具可以全部勾除(平常是用不到的),再加上終端服務即可,其它統統勾除! 關於磁牒分區: 正常情況下,C碟分10G已經非常足夠使用,其它的應用軟體均安裝到D碟,如提供FTP服務的SERV-U,以免系統崩潰後要全新安裝系統 的時間需要制作備份C碟資料。 二、安裝硬體的驅動程式 經常安裝驅程後重新啟動會自動載入一些程序,可用超級兔子之類軟體清理一下啟動項。其它的如音效卡的驅動找不到,可以不用安裝,因為平常用不到音效卡,不需要把時間浪費在這裡。有碰到系統能預設值認出來的顯示卡也無需再另裝驅動程式。 二、修正檔安裝 裝完系統後,如果安裝的系統是沒有打過SP4的,請先安裝WINDOWS 2000 sp4,然後進入Windows Update在線更新所有修正檔。也可以下載修正檔集(chinaz.com提供 的下載)直接安時間排序打上,以免浪費時間,微軟的網站有時候非常慢的。 複製一些必要的軟體到D碟 如,WIN2K安裝目錄I386,可放置一份到D碟,以方便以後使用(如重裝IIS的時候)。 D碟新增一個SOFT目錄,用於存放常用軟體,如PHP,MYSQL,DUM,SERV-U,SQL SERVER等的安裝文件 三、系統安全性設定 1,用戶管理 移除TsInternetUser用戶,並且將Guest用戶改名禁用並且更改一個複雜的密碼! 更改Administrator的用戶名以及密碼! 2,不讓系統顯示上次登入的用戶名,具體操作如下: 修改註冊表「HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\Dont Display Last User Name」的鍵值,把REG_SZ 的鍵值改成1。 3,禁止建立空連接 預設值情況下,任何用戶可通過空連接連上伺服器,枚舉帳號並猜測密碼。可以通過以下兩種方法禁止 建立空連接。 (1)修改註冊表 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 (2)修改Win 2000的本機安全原則 設定「本機安全原則→本機原則→選項」中的RestrictAnonymous(匿名連接的額外限制)為「不容 許枚舉SAM帳號和共享」。 4,開啟安全稽核 系統管理工具--本機安全原則--本機原則--稽核原則,正常情況下一共是9項 推薦設定為: 稽核原則更改:成功 失敗 稽核登入事件:成功 失敗 稽核對像訪問:失敗 稽核特權使用:失敗 稽核系統事件:成功 失敗 稽核目錄服務訪問:失敗 稽核帳戶登錄事件:成功 失敗 稽核賬戶管理:成功 失敗 稽核原則不需要全部開啟,如對像訪問的成功項。否則將會佔用過多的系統資源。 5,IP安全原則的組態。 可下載現成的原則直接匯入(詳細組態方法可見網上文章),如http://afei.blog.chinaz.com/UploadFi.../128918890.rar ,下載後在系統管理工具--本機安全原則--IP安全原則 點右鍵選項-所有工作--匯入原則,匯入後,指派為新IP安全原則,然後在系統管理工具--本機安全原則--安全性設定 點右鍵選項重新載入 6,關閉不必要和危險的系統服務 一個新安裝好的windows 2000 server系統,預設值應該是存在以下服務,設定為以下狀態: Alerter - 禁用 Application Management - 禁用 Automatic Updates - 可禁用 Background Intelligent Transfer Service - 禁用 ClipBook - 禁用 COM+ Event System - 手動 Computer Browser - 禁用 DHCP Client - 禁用 Distributed File System - 禁用 Distributed Link Tracking Client - 自動 Distributed Link Tracking Server - 禁用 Distributed Transaction Coordinator - 自動 DNS Client - 自動 Event Log - 自動 Fax Service - 禁用 File Replication - 禁用 IIS Admin Service - 自動 Indexing Service - 手動 Internet Connection Sharing - 手動 Intersite Messaging 禁用 IPSEC Policy Agent - 自動 Kerberos Key Distribution Center - 禁用 License Logging Service - 禁用 Logical Disk Manager - 自動 Logical Disk Manager Administrative Service - 手動 Messenger - 禁用 Microsoft Search - 禁用 (本服務在裝了SQLSERVER2000 SP3後出現) Net Logon - 手動 NetMeeting Remote Desktop Sharing - 手動 Network Connections - 自動 Network DDE - 手動 Network DDE DSDM - 手動 NT LM Security Support Provider - 手動 Performance Logs and Alerts - 手動 Plug and Play 自動 Print Spooler 禁用 Protected Storage 自動 QoS RSVP - 手動 Remote Access Auto Connection Manager - 手動 Remote Access Connection Manager - 手動 Remote Procedure Call (RPC) - 自動 Remote Procedure Call (RPC) Locator - 手動 Remote Registry Service 必須禁用 Removable Storage - 自動 Routing and Remote Access - 禁用 RunAs Service - 禁用 Security Accounts Manager 自動 Smart Card - 手動 Smart Card Helper - 手動 System Event Notification 自動 Task Scheduler 必須禁用 TCP/IP NetBIOS Helper Service 必須禁用 Telephony - 手動 Telnet 禁用 Terminal Services - 自動 Uninterruptible Power Supply - 手動 Utility Manager - 手動 Windows Installer - 手動 Windows Management Instrumentation 自動 Windows Management Instrumentation Driver Extensions 自動 Windows Time - 手動 Wireless Configuration - 手動 Workstation 自動 World Wide Web Publishing Service 自動 做為一個管理員,應該知道各種服務都是做什麼用的,例如有人入侵後須及時發現是否執行了一些入侵者留下的服務。 7,修改註冊表 移除如下目錄的任何鍵: HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT 移除以下鍵: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath 移除以下鍵: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2 8,修改終端服務的預設值連接阜(如有必要才需要此操作,預設值為3389,可隨意修改為1-65535的連接阜) 開啟註冊表,在「HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations」處 找到類似RDP-TCP的子鍵,修改PortNumber值。 9,網路卡的連接阜篩選(看具體情況組態,正常情況不需要做此組態,此項組態需重新啟動才能生效) 網路卡內容裡的tcp/ip傳輸協定內容--->進階-->選項-->tcp/ip篩選內容--> 第一項:TCP連接阜: 只允許: ---(看具體這台伺服器提供什麼服務增加) 80 (www服務) 21 (一般的ftp預設值) 53 (DNS服務) 110 (MAIL的SMTP服務) 25 (MAIL的POP3服務) 還有例如你的遠端終端的連接阜(預設值為3389,也有可能你改為別的連接阜,如6666,則加上6666) 第二項UDP連接阜: 此項可不增加,因為限制了以後,伺服器則不能開啟網頁等操作(當然,也安全多了) 第三項IP傳輸協定: ip傳輸協定:只允許6 10,IIS安全組態 開始-->程序-->系統管理工具-->Internet 服務管理器 預設值的設定是有一個叫「預設值站點」的站點,移除。 在IIS管理器中右擊主機,進入內容,會出來一個叫 "*機器名內容"的視窗,在主內容下選項"WWW服務",進入編輯 到主目錄選擇項,進入應用程式設定下的組態,在應用程式映射裡,你可以看到有htw, htr, idq, ida等副檔名的映射, 除了asp,asa,shtml,sthm,stm外,其它的統統移除,因為其餘的映射幾乎每個都有安全方面的漏洞。(這是在未裝cgi之類服務的情況下,像cgi,安裝後也會在這裡自動增加映射,沒有映射可就執行不了cgi程序了,同理,php或asp.net也一樣) 預設值的iis發怖目錄為c:\Inetpub,將這個目錄移除。在d盤或e盤新增一個目錄(目錄名隨意,如WWW),然後新增一個站點,將主目錄指向你新增的目錄。 這樣做的目的是為了將站點和系統分開。不至於站點的安全性設定出問題時危及到系統安全。 11,其它 網路卡內容裡的tcp/ip傳輸協定內容--->進階-->WINS-->選項 "禁用TCP/IP 上的NetBIOS" 移除C:\WINNT\Web下的兩個子目錄(一個是桌面圖片目錄,一個是列印目錄,列印目錄存在的話好像IIS的預設值站點一直會多一個Printer的目錄出來) 四、系統相關目錄及文件的權限設定 C、D、E等盤全部設定為僅Administrator組有完全控制權限(必須) C:\Program Files 這個目錄,像連接資料庫這些都是要讀取的,是C碟下比較重要的權限設定。 設定為: administrators組 -- 完全控制 SYSTEM - 完全控制 CREATOR GROUP - 全空的權限。(你可以先預設值的加上,然後套用。再重新設定權限,會發現權限變成空的,而另外多出來一個none的用戶,把那個none刪了,測試過執行ASP+ACCESS的程序這樣才會比較安全) 。。除了以上這三個以外,其它的統統刪掉。 C:\Documents and Settings 這個目錄設定為Administrator,SYSTEM擁有所有控制權限。 C:\WINNT 這個目錄設定為Administrator,SYSTEM擁有所有控制權限。IIS來賓帳戶設定為僅讀取權限(如有建立了專門的IIS用戶組,則這裡設定為IIS的用戶組)。 C:\WINNT目錄內 除 TEMP,system32目錄以外,所有目錄均設定為Administrator,SYSTEM擁有所有控制權限 C:\Winnt\system32目錄下的 xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe 這些常用的程式也要設定為僅Administrator,SYSTEM有所有控制權限。 五、防止虛擬主機用戶利用FSO及其它權限 ----------------------- 我們以建立一個 123.com站點的為例吧。設定目錄權限。 1,新增一個用戶組。例如 WebUser 2,新增一個站點用戶,如 web_123.com (密碼自定),並設定為屬於WebUser組(不要再屬於其它的組了) 3,新增一個該站點的目錄,設定該目錄權限為 administrator 組為所有權限,以及Web_123.com用戶為所有權限(即完全控制) 4,設定IIS站點。正常建立新站點後,站點內容的站點安全性裡面也相應做設定...(站點內容--目錄安全性--身份驗證和訪問控制--編輯) |
__________________ |
|
送花文章: 3,
|